Nginx 快取引發的跨域慘案

發表於2017-08-21

1. 前言

貴金屬wap版直播間上線後,偶爾有使用者反饋,在進入wap直播間的時候,出現空白頁面,但是重新重新整理又可以正常顯示了。我們曾一度認為是網路請求異常或相容問題,直到開發PC版直播間,在進行除錯中,同樣遇到了“白屏”問題,才引起了足夠重視,並進行了問題跟蹤與分析。現在跟大家分享一下,這種偶然現象出現的原因。

我們的直播間落地頁在fa.163.com 系統,而直播間內容,是通過 向直播間系統 qz.fa.163.com 發起Ajax請求獲取的。在出現“白屏”的時候,可以通過瀏覽器的除錯視窗,可以看到出現下面的報錯

p1

2. 問題分析

從上述錯誤提示文案中可以看到,問題首先和 跨域 有關。

何為跨域

從字面上理解為“跨域名”,
瀏覽器不能執行其他網站的指令碼,然而,跨域不僅僅侷限於域名這一項。只要協議、域名、埠有任何一個不同,都被當作是不同的域。 這是由於>同源策略的限制,從一個域上載入的指令碼不允許訪問另外一個域的文件屬性。雖然在瀏覽器中,<script>、<img>、<iframe>、<link>等標籤都>可>以載入跨域資源,而不受同源限制,但瀏覽器會限制指令碼中發起的跨域請求。比如,使用 XMLHttpRequest 物件和Fetch發起 HTTP 請求就必須遵守同源策略。

同源策略/SOP(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,瀏覽器很容易受到XSS、CSFR等攻擊。SOP要求兩個通訊地址的協議、域名、埠號必須相同,否則兩個地址的通訊將被瀏覽器視為不安全的,並被block下來。

舉個例子:從貴金屬主站 http://fa.163.com 發起請求訪問以下url:
p6

解決跨域

在實際應用中有多種方式來解決跨域問題,相信在實踐中都會用到其中的某些方案:

1.JSONP (無狀態連線,不能獲悉連線狀態和錯誤事件,而且只能走GET的形式)

2.iframe形式

3.伺服器代理

頁面直接向同域的服務端發請求,服務端進行跨域處理或爬蟲後,再把資料返回給客戶端頁。

4.CORS

CORS(Cross-Origin Resource Sharing)跨域資源共享,定義了必須在訪問跨域資源時,瀏覽器與伺服器應該如何溝通。CORS背後的基本思想就>是使用自定義的HTTP頭部讓瀏覽器與伺服器進行溝通,從而決定請求或響應是應該成功還是失敗。目前,所有瀏覽器都支援該功能,IE瀏覽器不能低>於IE10。整個CORS通訊過程,都是瀏覽器自動完成,不需要使用者參與。對於開發者來說,CORS通訊與同源的AJAX通訊沒有差別,程式碼完全一樣。瀏>覽器一旦發現AJAX請求跨源,就會自動新增一些附加的頭資訊,有時還會多出一次附加的請求,但使用者不會有感覺。

CORS方式實現:

瀏覽器在發出CORS請求時會在頭資訊之中增加一個Origin欄位;

後端返回程式碼中增加三個欄位

nginx是一個高效能的web伺服器,常用作反向代理伺服器。nginx作為反向代理伺服器,就是把http請求轉發到另一個或者一些伺服器上。通過把本地一個url字首對映到要跨域訪問的web伺服器上,就可以。

為了解決跨域問題,我們選擇方案d , 在直播間的過濾器中,統一新增了如下程式碼:

從錯誤提示文案中,我們還可以看到錯誤提示的關鍵點 “http://fa.163.com” that is not equal to the supplied origin. Origin ‘https://fa.163.com‘ is therefore not allowed access.
目前我們的系統同時支援http訪問和https訪問,但是為什麼使用 http訪問 ,返回的header中卻是 https 協議呢?
通過多次模擬,確認出現問題的請求中,Request URL使用的協議和 response返回的headers中的 Access-Control-Allow-Origin 中的 協議確實不一致,且還有一個特性,X-Cached 為 HIT,如下圖:

p2

命中了快取的請求,出現了協議不一致?

突然想到,這個介面,我們配置了nginx 快取,那必然和nginx快取有關了。

Nginx 快取

Nginx (engine x) 是一個高效能的HTTP和反向代理伺服器。
首先從源伺服器(內部網路上的web伺服器)上獲取內容,然後把內容返回給使用者,同時,也會把內容儲存到代理伺服器上一份,這樣日後再接收同樣的資訊請求時,他會把本地快取裡的內容直接發給使用者,以此減少後端web伺服器的壓力,提高響應速度。這其實就是快取伺服器所實現的功能。如下圖所示。

p3

進入直播間後,首先需要查詢直播內容是否有更新,而這個介面客戶端會以5s間隔輪詢,為了減少tomcat的壓力,我們配置了nginx快取。配置如下

p4

其中:

通過上述配置,我們可以看到 proxy_cache_key 配置中,只配置了host + uri + 引數,但沒有配置協議,所以無論用http訪問,還是https訪問,只要被快取後,返回的內容都是一樣的,而不會區分http或https。從而引起了跨域問題。
至此,問題分析完畢。

3. 問題解決

跟運維同學溝通後,通過修改nginx配置,將協議型別scheme加入到快取查詢的判斷引數中,配置如下。

p5

問題得到了解決。

4. 總結

上述“慘案” ,是 跨域、nginx快取、http/https協議 這三種條件同時出現引發的。
如果不涉及跨域,混用 http/https協議 + nginx快取,其實也是沒有問題的。但是一旦出現了跨域使用,必須 在nginx 快取配置中,配置 scheme + host + uri + 引數。

相關文章